XEN Kernel EFW: Unterschied zwischen den Versionen

Aus Neobikers Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 97: Zeile 97:


Das '''SPEC-File''' des RHEL-XEN-Kernels wird entsprechend erweitert, damit die '''EFW-Patches''' eingebunden werden. Die '''Sourcen''' der EFW-Patches müssen in das ''SOURCES'' Verzeichnis kopiert werden. Anschliessend kann man den Kernel neu bauen (patchen) und kompilieren:
Das '''SPEC-File''' des RHEL-XEN-Kernels wird entsprechend erweitert, damit die '''EFW-Patches''' eingebunden werden. Die '''Sourcen''' der EFW-Patches müssen in das ''SOURCES'' Verzeichnis kopiert werden. Anschliessend kann man den Kernel neu bauen (patchen) und kompilieren:
<pre>
<pre># RHEL-XEN Sourcen
cd /usr/src/EFW-COMMUNITY-2-devel-SRPMS
rpm -Uvh kernel-2.6.9-42.0.2.EL.xs148.src.rpm
 
# chroot Umgebung verlassen, da wget nicht vorhanden
exit
cd /efw-dev/usr/src
wget http://www.neobiker.de/wiki/dl/efw2-xen-src.tar.bz2
 
chroot /efw-dev
cd /usr/src/endian
tar xvjf ../efw2-xen-src.tar.bz2
 
rpmbuild -bc SPECS/kernel-efw2-xenU.spec --target i686
rpmbuild -bc SPECS/kernel-efw2-xenU.spec --target i686
</pre>
</pre>


Den gepatchten [http://www.neobiker.de/wiki/dl/efw2-kernel-i686-xen.tar.bz2 XEN-Kernel für EFW2] und ein [http://www.neobiker.de/wiki/dl/efw2-xen-src.tar.bz2 tarball] mit den geänderten Files (SOURCES u. SPECS) zum kompilieren stelle ich [http://www.neobiker.de/wiki/dl hier] zur Verfügung.
Den gepatchten [http://www.neobiker.de/wiki/dl/efw2-kernel-i686-xen.tar.bz2 XEN-Kernel für EFW2] und ein [http://www.neobiker.de/wiki/dl/efw2-xen-src.tar.bz2 tarball] mit den geänderten Files (SOURCES u. SPECS) zum kompilieren stelle ich [http://www.neobiker.de/wiki/dl hier] zur Verfügung.

Version vom 1. April 2007, 07:47 Uhr

Vorbereitung

Basis der Endian Firewall ist CentOS, eine OpenSource Implementierung von RedHat Enterprise Linux. RHEL stellt seine Sourcen zur Verfügung, welche die Basis von CentOS bilden. Für Anpassungen der Endian Firewall benötigen wir die passende Entwicklungsumgebung.

RPM

Die Endian Firewall ist wie RHEL RPM basiert. In einem chroot-jail kann die RPM-Entwicklungsumgebung auch unter Debian implementiert werden, z.B. durch mounten eines Images einer RPM-basierten Linux-Distribution, welche mittels chroot zum kompilieren genutzt werden kann.

Tip: Bei XEN Source bietet die Demo-CD die Möglichkeit CentOS, Debian und SuSE (gleichzeitig) direkt von CD zu benutzen. Auf der CD findet man also fertige XEN-Umgebungen und Images für CentOS, SuSE und Debian. Die Images können auch mit chroot verwendet werden ...

Tip: Es bietet sich hier alternativ eine Installation der EFW in einer VmWare an. Die VmWare-Disk der EFW (offline!) mountet man einfach in einer anderen VmWare-Installation als 2.te Disk und zieht mit tar die komplette EFW-Installation in ein tar-file ab. Die EFW-Installation kann dann auf einem anderem Rechner in einem beliebigen Verzeichnis ausgepackt und mit chroot benutzt werden.

EFW Developer Umgebung

Die Entwicklungsumgebung für EFW habe ich (in etwa) wie folgt erstellt:

mkdir -p /efw-dev/usr/src
cd /efw-dev/usr/src
wget http://mesh.dl.sourceforge.net/sourceforge/efw/EFW-COMMUNITY-2-devel-RPMS.tar.gz
tar xvzf EFW-COMMUNITY-2-devel-RPMS.tar.gz
cd /efw-dev
mkdir -p usr/src/endian var/lib/rpm dev etc proc sys
cp -a /dev/null /dev/zero /dev/urandom /dev/random dev
for f in etc/passwd etc/group etc/shadow; do grep root /$f > $f; done
grep " / " /etc/fstab > etc/fstab
cd usr/src/endian
mkdir BUILD RPMS SRPMS SPECS SOURCES

cd /efw-dev/usr/src/EFW-COMMUNITY-2-devel-RPMS
rpm --initdb --root /efw-dev
rpm --root /efw-dev -Uvh *.rpm --nodeps

mount -t proc none /efw-dev/proc
chroot /efw-dev

Jetzt die Sourcen laden und den Kernel übersetzen:

cd /usr/src
wget http://mesh.dl.sourceforge.net/sourceforge/efw/EFW-COMMUNITY-2-devel-SRPMS.tar.gz
tar xvzf EFW-COMMUNITY-2-devel-SRPMS.tar.gz

cd EFW-COMMUNITY-2-devel-SRPMS
rpm -Uvh kernel-2.6.9-34.0.1.EL.endian14.src.rpm

cd ..
ln -s linux-2.6.9/scripts/kconfig/libkconfig.so /usr/lib

cd endian
rpmbuild -bc SPECS/kernel26.spec --target i686

Der Kernel sollte jetzt übersetzt werden, also haben wir eine funktionstüchtige Entwicklungsumgebung für die Endian Firewall geschaffen.

Sourcen

Endian Firewall
EFW_COMMUNITY_2_RESPIN.iso Endian Firewall 2 Respin (Installationsimage für CD)
EFW-COMMUNITY-2-devel-RPMS Developer RPMs für EFW Build-Umgebung
EFW-COMMUNITY-2-devel-SRPMS Endian Firewall 2.0 Sourcen (nicht Respin)
XEN Source
kernel-2.6.9-42.0.2.EL.xs148.src.rpm XEN DomU Guest Kernel
XEN Downloads (Binäries, Sourcen, Demo CD)

Kernel patchen

Grösstes Problem ist, dass EFW auf dem Kernel 2.6.9 basiert, die XEN-3-Sourcen aber erst ab neueren Versionen (>= 2.6.12) kompilieren. Dank XenSource gibt es aber für eine RHEL 4.4 DomU die Sourcen für einen XEN 3.0.3 Gast-Kernel mit dem Kernel 2.6.9!

Wenn man die beiden Kernel-Sourcen vergleicht (die Details entnimmt man den jeweiligen SPEC-Files), stellt man fest, dass nur wenige Patches für EFW zusätzlich zum RHEL-Kernel einzubauen sind. Da EFW von CentOS und dieses von RHEL abstammt, sind die Kernel-Sourcen weitgehend identisch :-)

Patch3010: linux-2.6.9-endian-usbatm-CVS-2005-07-02.patch
Patch8003: linux-2.6.11-broken_conntrack_nf_fix.patch
Patch8005: kernel-2.6.9-2.6.10-layer7-1.2.patch
Patch8006: http://www.openswan.org/download/openswan-2.4.0.kernel-2.6-natt.patch.gz
Patch100000: iptables-1.3.2-pptp-20050720-workaround.patch

Das SPEC-File des RHEL-XEN-Kernels wird entsprechend erweitert, damit die EFW-Patches eingebunden werden. Die Sourcen der EFW-Patches müssen in das SOURCES Verzeichnis kopiert werden. Anschliessend kann man den Kernel neu bauen (patchen) und kompilieren:

# RHEL-XEN Sourcen
cd /usr/src/EFW-COMMUNITY-2-devel-SRPMS
rpm -Uvh kernel-2.6.9-42.0.2.EL.xs148.src.rpm

# chroot Umgebung verlassen, da wget nicht vorhanden
exit
cd /efw-dev/usr/src
wget http://www.neobiker.de/wiki/dl/efw2-xen-src.tar.bz2

chroot /efw-dev
cd /usr/src/endian
tar xvjf ../efw2-xen-src.tar.bz2

rpmbuild -bc SPECS/kernel-efw2-xenU.spec --target i686

Den gepatchten XEN-Kernel für EFW2 und ein tarball mit den geänderten Files (SOURCES u. SPECS) zum kompilieren stelle ich hier zur Verfügung.